Day 16 ATT&CK for ICS - Persistence(1)

攻击者进入 ICS 工控环境之後，会利用许多手法让自己保持跟 ICS 系统与设备的连线状态，让自己可以维持。

T0859 Valid Accounts

攻击者透过窃取设备或工控环境内工程师的帐号密码或是透过设备的预设密码进行存取设备或系统，并进入系统後新增新的帐号

可以透过钓鱼或水坑攻击取得密码，或是利用泄漏的帐号密码以 RDP 的方式进入 CS 环境，常见的服务类型如 VPN、RDP、外网可存取的 HMI 介面。

T0873 Project File Infection

攻击者透过恶意的程序码感染工控设备内部的物件、PLC 参数、设定档案。攻击者可使用工程软件内建的功能，下载恶意档案到 PLC 的主机里面，并放入专案资料夹内，当载入专案的时候，恶意程序也会被执行，这个恶意程序可能会与攻击者的主机进行连线，让攻击者有权限可以连回受害主机。